关于近期Nacos的任意文件读写漏洞说明及解决办法 | Nacos 官网
云栖回顾 | 2024 云栖大会微服务和网关相关演讲材料点此了解

关于近期Nacos的任意文件读写漏洞说明及解决办法


近期Nacos社区收到关于Jraft端口(默认值7848)任意文件读写的漏洞,可通过此漏洞进行Nacos Server所在节点的文件读写。社区排查原因是部分Jraft请求磁盘操作时,未限制文件路径导致的问题。

社区在2.4.11.4.8版本中已经修复该漏洞,可以在官网下载页面进行下载,请旧版本用户尽快升级新版本,解决此安全风险。同时新部署的环境请使用最新版本进行部署。

deployment

十分抱歉给广大Nacos用户造成了困扰和问题。

下载地址&升级指南

download page.

upgrade guide

关于安全漏洞的报告

由于安全漏洞的issue比较特殊,希望社区的安全工程师能够通过ASRC(Alibaba Security Response Center阿里安全响应中心) 告知漏洞。